BCR instruye a bancos a reforzar sus sistemas de ciberseguridad contra el "phishing" y otras estafas

La normativa les exige notificar a sus clientes los medios oficiales por los cuales deberán comunicar asuntos relativos a productos o servicios que ofrecen.

descripción de la imagen
Foto/ Archivo

Por Karen Molina

2021-08-25 6:30:52

El Banco Central de Reserva instruyó a las entidades del sistema financiero (bancos, bancos cooperativos, sociedades de ahorro y crédito y federaciones de bancos cooperativos) a reforzar sus sistemas de ciberseguridad y así filtrar correos electrónicos de phishing (engaño para compartir contraseñas) , spam, spear-phishing y otras amenazas basadas en el correo electrónico que están vulnerando las cuentas bancarias de los salvadoreños en los últimos días.

Las instrucciones  están contenidas en un reciente documento de "Normas Técnicas Temporales sobre medidas de ciberseguridad e identificación de los clientes en canales digitales" emitidas por el Banco Central y que estarán vigentes desde este 23 de agosto y por los próximos 180 días.

Las nuevas disposiciones responden a las decenas de denuncias de salvadoreños que han alertado, a través de redes sociales, que han recibido correos que suplantan distintas entidades bancarias, con la finalidad de robar claves de banca digital para luego realizar transferencias o retiros de efectivo sin uso de tarjeta. Banco Agrícola ha sido uno de los bancos más afectados por esta suplantación de datos.

Banco Agrícola simplifica proceso de denuncia por estafas

Estos son algunos de los principales requerimientos que el BCR está pidiendo reforzar:

Las entidades deberán implementar o actualizar las herramientas y mecanismos para monitorear redes y demás infraestructura tecnológica que permita detectar oportunamente eventos de seguridad o ciberseguridad, actividad o comportamientos inusuales, o movimientos laterales. Estas además deberán incluir en lo posible, la inteligencia de amenazas para procurar mantenerse informado sobre amenazas e indicadores de compromiso de otras fuentes confiables. (Art. 4)

Las entidades deberán contar con herramientas robustas para filtrar correos electrónicos de phishing, spam, spear-phishing y otras amenazas basadas en el correo electrónico y deben considerar la idoneidad de estas herramientas de tal manera que sean consistentes con el tamaño de la entidad. Las entidades deberán contar con programas de capacitación constantes sobre las amenazas de phishing para los empleados, haciendo énfasis para aquellos de atención al cliente. (Art. 8)

Las entidades deberán realizar campañas de educación financiera en la que se dé a conocer a los clientes medidas de ciberseguridad que deben aplicar en los distintos canales digitales a los que acceden.  Las entidades deberán notificar a sus clientes los medios oficiales por los cuales deberán comunicar asuntos relativos a productos o servicios que ofrecen. (Art. 8)

Las entidades deberán contar con una infraestructura con protocolos que realicen las funciones de autenticación de los usuarios, autorización y utilización de recursos o servicios, y registro de la actividad de los usuarios. (Art. 13)

Las entidades deberán contar con planes de respuesta para mitigar el impacto ante un incidente de ciberseguridad. Estos planes deben ser probados para comprobar la capacidad de respuesta e identificar brechas oportunamente. (Art. 17)

En la normativa el BCR también instruye a los bancos y demás entidades financieras "deberán utilizar múltiples factores de autenticación para verificar la identidad de sus clientes para realizar operaciones por medio de canales digitales".